derhalf
Goto Top

Ping über mehrere VPN Tunnel

Hallo zusammen ich habe noch eine dringliche Frage:

Wie bekomme ich einen Ping über 2 VPN Tunnel hin?

Folgende Konfiguration:


1. Hauptstelle X = DC, DNS, DHCP, - Lancom Router 192.168.176.200 (default GW) und Fritz.Box 3490 192.168.176.201 (GW für VPN) -- KEINE FESTE IP VON AUßen nicht erreichbar
2. Hauptstelle Y = DC, DNS, DHCP, - Fritz.Box 3490 192.168.177.201 (default GW und VPN) Feste IP (Hat einen Trust Verbindung zum DC Hauptstelle X)
3. Nebenstelle von Z = FritzBox 3490 192.168.179.201 (DHCP und DNS macht FritzBox) keine feste IP von außen nicht erreichbar VPN zu Y


So nun folgende Konstelation läuft aktuell:

Hauptstelle X baut eine VPN zu Y auf da ja Y öffentlich erreichbar ist.

Nebenstelle Z baut auch eine VPN zu Y auf

Nebenstelle Z kann aber keine direkte VPN zu X aufbauen da beide nicht direkt aus dem WWW erreichbar sind.


Jetzt ist es z.B. so, dass in der Hauptstelle X eine große Auerswald TK Anlage mit Voip steht.
die Telefone bei Y können auch Problemlos mit X kommunizieren auch DNS geht.

das Gleiche ist mit Y zu Z das läuft auch prima.

Nur wie bekomme ich es hin, dass von Z nach X Ping und DNS anfragen durchgeleitet werden?

Also wenn ich aus dem Netz 192.168.179.0 eine Ping Anfrage an die Auerswald TK Anlage schicke 192.168.176.30
geht diese Anfrage per VPN an die FritzBox bei Y und von dort in den nächsten VPN Tunnel nach 192.168.176.0 das geht aber nicht da komme ich nicht durch.

Hat jemand eine Idee???


P.S. bitte keine Fragen nach dem warum und wie man es anders machen kann das hat tiefe Gründe die ich hier nicht näher erläutern möchte.

Ich bin mir sicher, dass es so zum lösen sein müsste.

DANKE für eure Antworten!!!

Content-ID: 258777

Url: https://administrator.de/contentid/258777

Ausgedruckt am: 28.11.2024 um 08:11 Uhr

colinardo
colinardo 01.01.2015 aktualisiert um 11:26:42 Uhr
Goto Top
Moin derhalf, Frohes Neues !
Wie schon in deinem letzten Post erwähnt müssen auf allen Routern entsprechenden Routen für die Netze vorhanden sein die erreicht werden sollen, damit die Pakete den richtigen Weg (und auch wieder zurück!!) finden.

D.h. also in deinem Fall für den Router in Netz X eine statische Route für das Netz 192.168.179.0/24 mit Gateway 192.168.176.201. Auf diesem Gateway erstellst du ebenfalls eine statische Route mit dem o.g. Zielnetz aber als Gateway die 192.168.177.201 in Netz Y. Der Router in Netz Y kennt nun seinerseits das Zielnetz da er ja selber mit dem Netz Z verbunden ist, er leitet die Pakete also direkt weiter nach Z. Für den umgekehrten Weg brauchst du natürlich auch eine statische Route, auf dem Router Z erstellst du diese mit Zielnetz 192.168.176.0/24 mit Gateway 192.168.177.201.

Du musst dir immer nur bildlich vorstellen wie die Pakete fließen und ob in den Routingtabellen des jeweiligen Routers ein Eintrag für das Zielnetz vorliegt, dann ist das alles kein Hexenwerk face-wink

Grüße Uwe
orcape
orcape 01.01.2015 um 11:18:17 Uhr
Goto Top
Hi,
Du solltest statische Routen des jeweils anderen Netzes auf den Fritten der Nebenstelle Z und Hauptstelle X einrichten.
Gruß orcape
derhalf
derhalf 01.01.2015 aktualisiert um 11:38:04 Uhr
Goto Top
Hallo der Fehler liegt sicherlich im Detail leider geht es nicht.

Wenn ich bei Z in der Fritz Box bei Satische Routen folgende eintrage:

192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
192.168.177.0 Gateway 192.168.179.201

bei Y

192.168.179.0 Gateway 192.168.177.201
192.168.176.0.Gateway 192.168.177.201

Bei X

192.168.177.0 Gateway 192.168.176.201
192.168.179.0.Gateway 192.168.176.201

Dann geht überhaupt kein Ping mehr. Keine Verbindung

Wenn nur bei X im Lancom Router die satische Route drinnen ist und bei Y und Z keine Dann kann ich von X - Y pingen und Y - Z bingen aber nicht Z-X
also muss doch bei Y irgendwo der hund begraben sein. Wenn ich kann als Gateway bei der FritzBox kein Gateway bei statischer ROute einragen welches außerhalb den eigenen IP Bereiches ist.

Fall du gerade zeit hast könnten wir das auch per Fernwartung mal ansehen natürlich gegen Aufwandsentschädigung
derhalf
derhalf 01.01.2015 aktualisiert um 11:39:09 Uhr
Goto Top
Eine Lösung wäre natürlich auch irgendwie X und Z per VPN direkt zu verbinden aber das bekomme ich glaube ich nicht hin da beide nicht öffenltich erreichbar sind.
sk
sk 01.01.2015 aktualisiert um 11:52:52 Uhr
Goto Top
Vorweg: Ich kenne die Fritzbox nicht und kann daher über deren Konfigurationsmöglichkeiten und Funktionsweise nur mutmaßen.

Was Du umsetzen möchtest ist eine sog. Hub- and Spoke-Konfiguration.
Zentraler Lösungsansatz ist es (vereinfacht/laienhaft ausgedrückt), dem VPN-Gateway am Standort Z mitzuteilen, dass sich das Subnetz von X am Standort Y befindet und dem Standardgateway sowie dem VPN-Gateway am Standort X, dass sich das Subnetz von Z am Standort Y befindet.

Grundsätzlich ist gibt es zwei Möglichkeiten, wie IPSec-VPN-Gateways entscheiden, ob Traffic durch den Tunnel geroutet wird oder nicht:
1) routebased
2) policybased

Zu 1)
Hierbei wird der Traffic anhand einer von der VPN-Definition unabhängigen zusätzlichen Regel/Route durch einen bestehenden Tunnel geschoben - dabei wird die VPN-Definition in Phase2 nicht beachtet
Zu 2)
Hier richtet sich das IPSec-Gateway bei seiner Routingentscheidung ausschließlich nach der Phase2-SA.

Möglichkeit 1 ist wesentlich flexibler als Variante 2, wird aber nicht von allen Gateways unterstützt.
Möglichkeit 2 sollte eigentlich von allen Gateways supportet sein. Daher würde ich in Unkentnis der Arbeitsweise der FB diesen Weg hier beschreiten wollen. Allerdings ist gibt es auch bei dieser Variante verschiedene Implementierungsvarianten: Manche Gateways erlauben in Phase 2 die Angabe mehrerer Remotesubnets. Dabei wird im Hintergrund letztlich eine zweite Phase2-Policy erstellt und mit der bestehenden Phase1-Policy verknüpft. Bei anderen GWs kann man nur ein Remotesubnet angeben und man muss daher von Hand eine zusätzliche Phase2-Policy definieren. Gelegentlich müssen sogar 2 komplette VPN-Tunnel definiert werden (also Phase1=IKE, Phase2=IPSec).
Am einfachsten wäre es jedoch im vorliegenden Fall, man könnte die bestehenden Phase2-Policies so erweitern, dass jeweils beide Remotenetze von der Policy erfasst werden. Dafür müssten wir im vorliegenden Fall allerdings mit Ranges statt mit Subnets arbeiten können, da sich die Subnets für Y und Z nicht überschneidungsfrei mit X per Supernetting zu einem Subnetz zusammenfassen lassen.
Sollten die Fritzboxen die Angabe von Ranges in der Phase2-Policy zulassen, wäre also folgendes zu definieren:

X-->Y:
lokales Subnetz=192.168.176.0/24
Remote-Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
[zusätzlich muss noch auf dem Standardgateway am Standort X eine Route zum Subnetz Y gesetzt werden, die über das VPN-Gateway am Standiort X führt]

Y-->X:
lokale Range=192.168.177.0 bis 192.168.179.255 (Achtung: das schließt das Netz 192.168.178.0/24 mit ein!)
Remote-Subnetz=192.168.176.0/24

Y-->Z:
lokale Range=192.168.176.0 bis 192.168.177.255
Remote-Subnetz=192.168.179.0/24

Z-->Y:
lokales Subnetz=192.168.179.0/24
Remote-Range=192.168.176.0 bis 192.168.177.255


Gruß
sk
colinardo
colinardo 01.01.2015 aktualisiert um 11:52:56 Uhr
Goto Top
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
die ist ja auch falsch, siehe oben ....., les meinen Kommentar nochmal genauer dann fällt die auf was du vergessen hast face-wink
Wie oben geschrieben einfach gedanklich die Pakete verfolgen und sich selber fragen hat der Router einen Eintrag in der Routingtabelle oder nicht. Der Router auf dem eine statische Route angelegt wird muss selber das Zielgateway mit seiner Routingtabellen erreichen können !
Eine Lösung wäre natürlich auch irgendwie X und Z per VPN direkt zu verbinden aber das bekomme ich glaube ich nicht hin da beide nicht öffenltich erreichbar sind.
Schon mal was von DynDNS gehört face-wink

Fall du gerade zeit hast könnten wir das auch per Fernwartung mal ansehen natürlich gegen Aufwandsentschädigung
geht leider gerade nicht ...
derhalf
derhalf 01.01.2015 um 11:50:21 Uhr
Goto Top
Nicht zu vergessen am Standort X ist ein Lancom Router mit der 192.168.176.200 dort ist die Statische Route auf Gateway 192.168.176.201 mit Adressen: 192.168.177.0 und 192.168.179.0 eingerichtet

an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn die Verbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
orcape
orcape 01.01.2015 um 11:53:07 Uhr
Goto Top
Wenn ich bei Z in der Fritz Box bei Satische Routen folgende eintrage:
192.168.176.0 Gateway 192.168.179.201 (Gateway 192.168.177.201 lässt sich nicht eintragen -> Fehler Route nicht zulässig)
Logisch, die Route zur Hauptstelle kennt der ja.
Das sollte bei Z dann so heißen...
192.168.176.0 GW 192.168.176.201
Eine Alternative wäre OpenVPN mit einem Multiclienttunnel.
Dazu müsstest Du aber eine Alternative zu Deiner Hardware suchen oder das Ganze mit Freetz etwas modifizieren.
derhalf
derhalf 01.01.2015 um 11:54:07 Uhr
Goto Top
Werde das gleich noch einmal testen DynDns geht nicht da die VPN Router hinten einem anderen Router stehen und dessen Verbindung mitnutzen. Diese Router welche eigentlich DSL aufbauen können nicht verändert werden auch kein Forwarding etc.
colinardo
colinardo 01.01.2015 aktualisiert um 11:57:58 Uhr
Goto Top
Zitat von @derhalf:

an der FritzBox bei X also der 192.168.176.201 ist keine Statische Route drinnen (muss ich da noch eine Eintragen denn dieVerbindung zu 192.168.177.0 Netz klappt einwandfrei nur die zu 192.168.179.0 nicht
Ja denn die VPN-Fritte hat selber keinen Routingtabelleneintrag für das 192.168.179.x Netz, weiß somit also ohne statische Route nicht wohin mit diesen Paketen !! Das 177er Netz dagegen kennt sie ja schon durch die VPN Verbindung...
derhalf
derhalf 01.01.2015 um 11:58:26 Uhr
Goto Top
192.168.176.0 GW 192.168.176.201 geht nicht --> Route nicht zulässig

Ich kann als GW anscheinend nur eine IP aus dem Eigenen Bereich eintragen also aus 192.168.179
sk
sk 01.01.2015 um 12:02:58 Uhr
Goto Top
Dass man der FB über eine statische Route mitteilen kann, welche Netze zusätzlich hinter dem Tunnel liegen, ist sehr unwahrscheinlich. Lies mal meinen Beitrag oben!
derhalf
derhalf 01.01.2015 um 12:07:49 Uhr
Goto Top
Danke für deine Ausführungen leider habe ich deinem Fall nur eine wage Vorstellung wie ich das umsetzen soll da ich beim Thema VPN nur mäßige Erfahrungen habe. Ich weis, dass FritzBoxen ziemlich viel VPN Verbindungen akzeptieren und sich einrichten lassen allerdings muss dies alles per Hand in die VPN CFG Dateien geschrieben werden und in die FB übertragen werden.

Leider übersteigt das meine fähigkeiten.

Gäbe es nicht am Standort Y eine möglichkeit per Software diese Verteilung vornehmen zu lassen dort steht ein Server 2012R2 welcher DC ist und DNS sowie DHCP verwaltet.

Gibt es keine "einfache" Softwarelösung welche diese Aufgabe übernimmt also z.B. auf Pings für 192.168.176.3 aus dem Netz 192.168.179.0 lauscht und diese dann an 192.168.176.0 weiterleitet?
colinardo
Lösung colinardo 01.01.2015 aktualisiert um 15:48:53 Uhr
Goto Top
Hier steht wie du die Config (accesslist) auf der VPN-Fritte anpassen musst, dann lüpt das auch mit einer Fritte
http://en.avm.de/nc/service/fritzbox/fritzbox-6840-lte/knowledge-base/p ...
sk
sk 01.01.2015 aktualisiert um 12:16:36 Uhr
Goto Top
Zitat von @derhalf:

Danke für deine Ausführungen leider habe ich deinem Fall nur eine wage Vorstellung wie ich das umsetzen soll da ich beim
Thema VPN nur mäßige Erfahrungen habe. Ich weis, dass FritzBoxen ziemlich viel VPN Verbindungen akzeptieren und sich
einrichten lassen allerdings muss dies alles per Hand in die VPN CFG Dateien geschrieben werden und in die FB übertragen
werden.

Leider übersteigt das meine fähigkeiten.

Ein wenig ausprobieren und einarbeiten gehört halt schon dazu. Die Aufgabenstellung ist definitiv lösbar. Der von colinardo gepostete KB-Eintrag sollte Dir weiterhelfen.
Eventuell wäre jetzt auch der richtige Zeitpunkt, das Fritzbox-Geraffel rauszuwerfen und gegen etwas professionelleres zu ersetzen, das sich gleichsam besser und einfacher konfigurieren lässt.
orcape
orcape 01.01.2015 um 13:16:09 Uhr
Goto Top
Eventuell wäre jetzt auch der richtige Zeitpunkt, das Fritzbox-Geraffel rauszuwerfen und gegen etwas professionelleres zu
ersetzen, das sich gleichsam besser und einfacher konfigurieren lässt.
Guter Spruch, nur setzt das beim Thema Wissen in Sachen Netzwerk und VPN schon einiges an Grundwissen voraus, welches der TO entweder nicht hat bzw. sich auch nicht erst aneignen möchte. So zumindest mein (subjektiver) Eindruck.
Teils sind aber auch Provider bedingt, kaum weiteren Möglichkeiten gegeben das so problemlos umzusetzen, da das Thema Zwangsrouter in Sachen DSL immer mehr zum Thema wird.
Trotz der bisherige Konfiguration sollte sich das Problem aber auch mit den Fritten lösen lassen.
derhalf
derhalf 01.01.2015 um 13:39:03 Uhr
Goto Top
Ich bin ein wenig weiter gekommen.

EINER der großen Knackpunkte war, dass in den .CFG Dateien für die VPN Verbindungen die Accesslist erweitert werden muss:

phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <<<--- wurde z.b. bei Y hinzugefügt

da sonst logischerweise die Tunnels die IPs nicht durchlassen.

Die CFG von Y sieht so aus:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Standort Y";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort Z";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort Z";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.179.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0",
"permit ip any 192.168.176.0 255.255.255.0"; <-- habe ich zugefügt
} {
enabled = yes;
conn_type = conntype_lan;
name = "fass";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "Standort X";
localid {
fqdn = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
}
remoteid {
fqdn = "Standort X";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.176.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.176.0 255.255.255.0",
"permit ip any 192.168.179.0 255.255.255.0"; <-- habe ich zugefügt
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Permit ip any habe ich natürlich auch bei Z und X Erweitert.

So weit so gut nur lässt sich jetzt Standort X und Y nicht mehr untereinander anpingen von Y auf Z geht es .... hmmm
Naja das lässt sich sicherlich noch herausfinden.

P.S. zu den Routern.

FritzBoxen sind wohl in vielen Bereichn wesentlich bedienbarer als andere. (es kommt natürlich auf das Einsatzgebiet an)

Lancom Router sind in meinen Augen die besten

ich hatte auch schon einen TDT Router bei einem Einsatzleitwagen der Feuerwehr im Einsatz da hat sogar der Support von TDT 3 Stunden gebraucht eine OpenVpn verbindung zu einer gegenstelle aufzubauen. Die Dinger sind fast nicht konfigurierbar.

Lancom ist ausgeschieden da ich für die Redudanz an den Standorten XYZ ist ca. 800km jeweils von einander entfernt jeweils 2 Router stehen habe. Also eine FritzBox und eine mit gespiegelten Einstellunge, damit beim Versagen (z.b. durch äußere Einwirkungen oder sindiges) ein Leihe Vor Ort schnell die 2. Box anschließen kann damit Fernwartung möglich ist.

Lancom war da leiter schlichtweg zu teuer.

Ich habe sehr gute IT Kenntnisse allerding hatte ich bis jetzt noch die mehr als eine LAN LAn oder LAN Client Kopplung.

Diese Konstelation hier hatte ich so einfach noch nicht.
aqui
aqui 01.01.2015 aktualisiert um 14:20:57 Uhr
Goto Top
Bekommen wir pro Tunnelhop 50 Euronen ??
Dann posten wir dir hier ne Lösung wie du es über 10 und mehr Tunnelhops bekommst face-wink
Das ist doch ein simpler Klassiker mit statischen oder dynamischen Routing !
Grundlagen zu IPsec Routing findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außrdem hat AVM die Lösung selber parat:
http://avm.de/nc/service/fritzbox/fritzbox-3270/wissensdatenbank/public ...
und auch:
http://avm.de/service/vpn/praxis-tipps/drei-oder-mehr-fritzbox-netzwerk ...
Die grundlegende Frage die sich auch stellt was der Unsinn in der Hauptstelle mit einer Router Kaskade soll ? Der Lancom supportet doch wunderbar auch IPsec VPNs die man dann auf den FBs hätte terminieren können ?!
Aber nundenn...warum einfach machen...?!
sk
Lösung sk 01.01.2015 aktualisiert um 15:48:18 Uhr
Goto Top
Deine Änderungen ergeben so keinen Sinn. Wenn ich den KB-Artikel richtig verstehe, dann musst Du am Standort Y an den beiden bestehenden VPN-Tunneln gar nichts ändern, sondern nur an X und Z.

Am Standort X wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.179.0 255.255.255.0"

Am Standort Z wird die Phase2-Policy um folgenden Eintrag erweitert:
"permit ip any 192.168.176.0 255.255.255.0"

Zusätzlich muss am Standort X noch dem LANCOM-Router per statischer Route mitgeteilt werden, dass er das Netz 192.168.179.0/24 über die lokale Fritzbox erreicht.

Gruß
sk
derhalf
derhalf 01.01.2015 um 15:08:07 Uhr
Goto Top
Leider nicht die Ausgangssituation gelesen der Lancom Router ist öffentlich nicht erreichbar...
derhalf
derhalf 01.01.2015 um 16:26:03 Uhr
Goto Top
Falls jemand interessiert ist hier die Lösung:
colinardo
colinardo 01.01.2015 um 16:40:03 Uhr
Goto Top
und schwuppdiwupp ist der Fuffy ausradiert face-wink
Spende ihn wenigstens dem Forum, wenn du hier schon damit rumwedelst ....
derhalf
derhalf 01.01.2015 aktualisiert um 16:44:36 Uhr
Goto Top
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte. Sonst hätte ich Ihn natürlich gewährt.
Gib mir n Spendenkonto vom Forum dann werde ich das machen.
P.S. als Nachweis poste ich sogar den Beleg!


Da ich die Lösung bereits gefunden habe, habe ich naütlich den Eintrag entfernt da sonst ja jetzt jemand noch mir die "Lösung" schreiben könnte.

P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das Forum kommen und wenigstes die Werbeeinnahmen steigen ;)
Dani
Dani 01.01.2015 um 16:46:04 Uhr
Goto Top
Moin,
schön das es funktioniert. Deshalb aber einen neuen Beitrag vom Typ Anleitung aufzumachen - ich weiß nicht. Die Anleitung geht mir zu wenig ins Detail und berücksichtigt keine Sicherheitsmaßnahmen. Du kannst die Anleitung gerne ausbauen (Details, Details, Details,...), dann lasse ich sie dort. Wenn du keine Zeit hast oder zu faul bist, poste den Inhalt hier als Antwort und ich trete die Anleitung in die Tonne.

Die Schlussfolgerungen sind so nicht ganz korrekt. Es hängt doch von den Anforderungen und den Sicherheitsbedürfnissen ab. Für mich sieht das, ohne genauere Infos, eher aus als würdest du in das linke und rechte Netzwerk eine Backdoor einbauen. Denn wenn eine Fremdling in VPN drin ist hat er freien Zugriff auf (fast) alles, denn die evtl. LANCOM-Firewalls hebelst du sauber mit den Switches aus. Sicherheit sieht anders aus - just my 5 cents...


Gruß,
Dani
colinardo
colinardo 01.01.2015 aktualisiert um 16:58:46 Uhr
Goto Top
Zitat von @derhalf:

Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte.
wie bitte ... der Hinweis mit der Access-List war doch dein Schlüssel zum Glück mit deiner Frittenbude - umsetzen musst du es natürlich immer selber, das können wir dir hier ja nicht abnehmen.
Gib mir n Spendenkonto vom Forum dann werde ich das machen.
wende dich mit einer PM an @Frank der nimmt das gerne entgegen... face-smile

Grüße Uwe
keine-ahnung
keine-ahnung 01.01.2015 um 17:00:49 Uhr
Goto Top
Gesundes Neues!
denn die evtl. LANCOM-Firewalls hebelst du sauber mit den Switches aus
Jupp. Ist aber schick: wenn die firewalls fehlkonfiguriert sind, kannst Du trotzdem prima arbeiten face-wink
damit meine Nachfolger auf das Forum kommen und wenigstes die Werbeeinnahmen steigen
Damit kann man aber die dann notwendigen Exorcismen vermutlich aber noch nicht bezahlen ...

LG, Thomas
derhalf
derhalf 01.01.2015 um 17:19:20 Uhr
Goto Top
Die Sicherheitsbedenken sind sicherlich berechtigt.

Der "Schutz" wird Global von G-Data und einer Softwarefirewall sowie Device Control sicher gestellt.

Ich halte nicht viel von teuren Firewall Lösungen etc. (kommt natürlich auf den Kunden an)

Denn in den meisten Netzwerken reicht es aus wenn ich einem Mitarbeiter unter einem Vorwand einen USB Stick unterjubel. (Geht sogar bei Sony).

Also wenn keine "wichtigen" oder "teuren" Plände, Daten etc im Netzwerk sind ist mein Ansatz eine extrem gute und schnelle Datensicherung.

Denn mal ehrlich einen Laien Hacker hält G-Data und die externe Firewall auf. Ein profi lächelt doch nur drüber der es auf eine Firma abgesehen hat. Egal ob dieser Firewall im Wert von 5.000€ installiert hat oder nicht.

Aber darüber lässt sich sicherlich streiten.

Wenn die Anleitung nicht passt dann halt wieder löschen.
P.S. wegen dem entscheidenten Hinweis:

Ich hatte geschrieben 50€ für den der mir den entscheidenten Hinweis gibt und das hat definitiv keiner es waren lediglich bruchstücke zum Erfolg. Aber wie gesagt. nennt mir n Spendenkonto und ich üebrweise 50€ ans Forum hat mir schließlich in der Summe geholfen. Daran soll es nicht scheitern.

Danke an alle die gepostet haben!
sk
sk 01.01.2015 aktualisiert um 20:45:31 Uhr
Goto Top
Zitat von @derhalf:
Ich habe ihn entfernt da keiner den wirklich entscheidenten Hinweis leisten konnte. Sonst hätte ich Ihn natürlich
gewährt.

Nicht dass ich das Geld hätte haben wollen, da ich hier ohnehin zum Zwecke der gegenseitigen (also auch meiner) Wissensmehrung mitwirke, aber DIESE Aussage von Dir ist doch wohl absolut unverschämt und peinlich! Du hast ausschließlich das umgesetzt, was colinardo und ich für Dich hier recherchiert und entwickelt haben!
Vergleiche nur mein Posting von 14:17 Uhr: Da stehen exakt die 3 Konfigurationsschritte drin, die letztlich umzusetzen waren!


Zitat von @derhalf:
P.S. ich habe mir auch extra die Mühe gemacht eine Anleitung für das Forum zu schreiben, damit meine Nachfolger auf das
Forum kommen und wenigstes die Werbeeinnahmen steigen ;)

Der Gedanke war ja ganz löblich, aber die Ausführung ist delittantisch! Der Umstand, dass es Dir hierbei nicht gelungen ist, das Wesentliche vom Unwesentlichen zu trennen, um die Aufgabenstellung und den Lösungsweg klar herauszuarbeiten, zeigt doch, dass Du allein eben nicht auf die Lösung gekommen wärst.


Mit einigem Kopfschütteln
sk